次の方法で共有


特殊 ID グループ

Windows アクセス制御に使用される Windows Server の特殊 ID グループ ("セキュリティ グループ" とも呼ばれる) について説明します。

特殊 ID グループとは

特殊 ID グループは、Active Directory の Users および BuiltIn コンテナーに一覧表示される Active Directory セキュリティ グループに似ています。 特殊 ID グループは、ネットワーク内のリソースへのアクセス権を割り当てるための効率的な手段となります。 特殊 ID グループを使用すると、次のことができます。

  • Active Directory のセキュリティ グループにユーザーの権利を割り当てる。

  • セキュリティ グループにリソースに対するアクセス許可を割り当てる。

Windows Server での特殊 ID グループの機能

この記事の冒頭にある「適用対象」に示されている Windows Server オペレーティング システムのバージョンのどれかを実行しているサーバーには、複数の特殊 ID グループが存在します。 これらの特殊 ID グループは、変更できる特定のメンバーシップはないものの、状況に応じて、さまざまな時点でさまざまなユーザーを表すことができます。

特定のリソースに対する権限とアクセス許可を特殊 ID グループに割り当てることができますが、特殊 ID グループのメンバーシップを表示または変更することはできません。 グループ スコープは、特殊 ID グループには適用されません。 ユーザーは、サインインまたは特定のリソースへのアクセス時に、特殊 ID グループに自動的に割り当てられます。

Active Directory のセキュリティ グループとグループ スコープの詳細については、「Active Directory セキュリティ グループ」を参照してください。

既定の特殊 ID グループ

Windows Server の既定の特殊 ID グループについて、次の一覧で説明します。

Anonymous Logon

匿名ログオンを介してシステムにアクセスするすべてのユーザーには、Anonymous Logon ID が割り当てられます。 この ID を使用すると、企業サーバーで公開されている Web ページなどのリソースに匿名でアクセスできます。 Anonymous Logon グループは、既定では Everyone グループのメンバーではありません。

属性
既知の SID/RID S-1-5-7
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Attested key property

キー信頼オブジェクトが構成証明プロパティを持っていたことを意味するセキュリティ識別子 (SID)。

属性
既知の SID/RID S-1-18-6
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Authenticated Users

サインイン プロセスを通してシステムにアクセスするすべてのユーザーには、Authenticated Users ID が割り当てられます。 この ID を使用すると、組織内のすべての作業者がアクセスできる共有フォルダー内のファイルなど、ドメイン内の共有リソースにアクセスできます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-11
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

ドメインにワークステーションを追加: SeMachineAccountPrivilege

走査チェックのバイパス: SeChangeNotifyPrivilege

Authentication authority asserted identity

クライアントの ID が、クライアント資格情報の所有証明に基づいて、認証機関によってアサートされていることを示す SID。

属性
既知の SID/RID S-1-18-1
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Batch

バッチ ジョブとして、またはバッチ キューを介してシステムにアクセスするすべてのユーザーまたはプロセスには、Batch ID が割り当てられます。 この ID を使用すると、バッチ ジョブは、一時ファイルを削除する夜間クリーンアップ ジョブなどのスケジュールされたタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-3
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Console logon

物理コンソールにログオンしているユーザーを含むグループ。 この SID を使用して、ユーザーがコンソールへの物理的なアクセスを許可されているかどうかに基づいて異なる権限を付与するセキュリティ ポリシーを実装できます。

属性
既知の SID/RID S-1-2-1
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Creator Group (CREATOR GROUP)

この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。

継承可能なアクセス制御エントリ (ACE) にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者のプライマリ グループの SID に置き換えられます。 プライマリ グループは POSIX サブシステムでのみ使用されます。

属性
既知の SID/RID S-1-3-1
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Creator Owner (作成所有者)

この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。 継承可能な ACE にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者の SID に置き換えられます。

属性
既知の SID/RID S-1-3-0
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Dialup (DIALUP)

ダイヤルアップ接続を介してシステムにアクセスするユーザーには、Dialup ID が割り当てられます。 この ID は、ダイヤルアップ ユーザーを他の種類の認証済みユーザーと区別します。

属性
既知の SID/RID S-1-5-1
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

ダイジェスト認証

属性
既知の SID/RID S-1-5-64-21
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Enterprise Domain Controllers

このグループには、Active Directory フォレスト内のすべてのドメイン コントローラーが含まれます。 エンタープライズ全体での役割と責任を持つドメイン コントローラーには、Enterprise Domain Controllers ID が割り当てられます。 この ID を使用すると、ドメイン コントローラーは推移的な信頼関係を使用して、エンタープライズ内で特定のタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-9
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

ローカル ログオンを許可: SeInteractiveLogonRight

Enterprise Read-only Domain Controllers

このグループには、Active Directory フォレスト内のすべての読み取り専用ドメイン コントローラー (RODC) が含まれます。 Enterprise RODC では、グローバル カタログやフォレスト内のすべてのドメインの読み取り専用ドメイン パーティションなど、Active Directory データベースのより大きなサブセットをレプリケートできます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-21-<RootDomain>-498
オブジェクト クラス グループ
Active Directory の既定の場所 CN=Users、DC=<forestRootDomain>
既定のユーザー権利 なし

Everyone

Everyone グループのメンバーは、対話型、ネットワーク、ダイヤルアップ、認証済みのすべてのユーザーです。 この特殊 ID グループは、システム リソースへの幅広いアクセスを提供します。 ユーザーがネットワークにログオンすると、そのユーザーが Everyone グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。

Windows 2000 以前を実行しているコンピューターでは、Everyone グループに既定のメンバーとして Anonymous Logon グループが含まれていました。 Windows Server 2003 以降、Everyone グループには Authenticated Users と Guest のみが含まれています。 Everyone グループに Anonymous Logon グループは含まれていません。 Anonymous Logon グループを含むように Everyone グループの設定を変更するには、レジストリ エディターで Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キーに移動し、everyoneincludesanonymous DWORD の値を 1 に設定します。

属性
既知の SID/RID S-1-1-0
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

走査チェックのバイパス: SeChangeNotifyPrivilege

Fresh Public Key identity

クライアントの ID が、クライアント公開キー資格情報の現在の所有証明に基づいて、認証機関によってアサートされていることを示す SID。

属性
既知の SID/RID S-1-18-3
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Interactive

ローカル システムにログオンしているすべてのユーザーには、Interactive ID が割り当てられます。 この ID を使用すると、ローカル ユーザーのみがリソースにアクセスできます。 ユーザーが現在ログオンしているコンピューター上の特定のリソースにアクセスすると、そのユーザーが Interactive グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-4
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

IUSR

このアカウントは、匿名認証が有効になっている場合にインターネット インフォメーション サービス (IIS) によって既定で使用されます。

属性
既知の SID/RID S-1-5-17
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

キー信頼

クライアントの ID が、キー信頼オブジェクトを使用した公開キー資格情報の所有証明に基づくことを意味する SID。

属性
既知の SID/RID S-1-18-4
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Local Service

Local Service アカウントは、Authenticated User アカウントに似ています。 Local Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 Local Service アカウントとして実行されるサービスは、匿名の資格情報を使用した NULL セッションとしてネットワーク リソースにアクセスします。 アカウントの名前は NT AUTHORITY\LocalService です。 このアカウントにパスワードはありません。

属性
既知の SID/RID S-1-5-19
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 プロセスのメモリ クォータの増加: SeIncreaseQuotaPrivilege

走査チェックのバイパス: SeChangeNotifyPrivilege

システム時刻の変更: SeSystemtimePrivilege

タイム ゾーンの変更: SeTimeZonePrivilege

グローバル オブジェクトの作成: SeCreateGlobalPrivilege

セキュリティ監査の生成: SeAuditPrivilege

認証後にクライアントを偽装: SeImpersonatePrivilege

プロセス レベル トークンの置き換え: SeAssignPrimaryTokenPrivilege

LocalSystem

LocalSystem アカウントは、オペレーティング システムによって使用されるサービス アカウントです。 LocalSystem アカウントは、システムへのフル アクセスが可能な強力なアカウントであり、ネットワーク上のコンピューターとして機能します。 サービスがドメイン コントローラーの LocalSystem アカウントにログオンすると、そのサービスはドメイン全体にアクセスできます。 一部のサービスは、LocalSystem アカウントにログオンするように既定で構成されています。 既定のサービス設定は変更しないでください。 アカウントの名前は LocalSystem です。 このアカウントにパスワードはありません。

属性
既知の SID/RID S-1-5-18
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

MFA key property

キー信頼オブジェクトに多要素認証 (MFA) プロパティがあったことを意味する SID。

属性
既知の SID/RID S-1-18-5
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

ネットワーク

このグループには、ネットワーク接続を介してログオンしているすべてのユーザーが暗黙的に含まれます。 ネットワーク経由でシステムにアクセスするすべてのユーザーに、Network ID が割り当てられます。 この ID を使用すると、リモート ユーザーのみがリソースにアクセスできます。 ユーザーがネットワーク経由で特定のリソースにアクセスすると、そのユーザーが Network グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-2
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Network Service

Network Service アカウントは、Authenticated User アカウントに似ています。 Network Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 ネットワーク サービス アカウントとして実行されるサービスは、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。 アカウントの名前は、NT AUTHORITY\NetworkService です。 このアカウントにパスワードはありません。

属性
既知の SID/RID S-1-5-20
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 プロセスのメモリ クォータの増加: SeIncreaseQuotaPrivilege

走査チェックのバイパス: SeChangeNotifyPrivilege

グローバル オブジェクトの作成: SeCreateGlobalPrivilege

セキュリティ監査の生成: SeAuditPrivilege

認証後にクライアントを偽装: SeImpersonatePrivilege

プロセス レベル トークンの置き換え: SeAssignPrimaryTokenPrivilege

NTLM 認証

属性
既知の SID/RID S-1-5-64-10
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Other Organization

このグループには、ダイヤルアップ接続を介してシステムにログオンしているすべてのユーザーが暗黙的に含まれます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-1000
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Owner Rights

Owner Rights グループは、オブジェクトの現在の所有者を表します。 この SID を持つ ACE がオブジェクトに適用されると、オブジェクト所有者の暗黙的な READ_CONTROL と WRITE_DAC のアクセス許可がシステムで無視されます。

属性
既知の SID/RID S-1-3-4
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Principal Self

この ID は、Active Directory のユーザー、グループ、またはコンピューター オブジェクトの ACE のプレースホルダーです。 Principal Self にアクセス許可を付与するときは、オブジェクトによって表されるセキュリティ プリンシパルにアクセス許可を付与します。 アクセス チェック中に、Principal Self の SID がオペレーティング システムによって、オブジェクトで表されるセキュリティ プリンシパルの SID に置き換えられます。

属性
既知の SID/RID S-1-5-10
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

プロキシ

SECURITY_NT_AUTHORITY プロキシを識別します。

属性
既知の SID/RID S-1-5-8
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Read-Only Domain Controllers

このグループには、Active Directory データベースに対する読み取り専用権限を持つドメイン内のすべての RODC が含まれます。 アカウント パスワードを除き、RODC は書き込み可能なドメイン コントローラーが保持するすべての Active Directory オブジェクトと属性を保持します。 これを使用すると、物理セキュリティが不足しているか、保証されていない場合に、ドメイン コントローラーを展開できます。 RODC は、このグループの明示的なメンバーです。

属性
既知の SID/RID S-1-5-21-<ドメイン>-521
オブジェクト クラス グループ
Active Directory の既定の場所 CN=Users、DC=<rootDomain>
既定のユーザー権利 なし

Note

フォレストに RODC アカウントが作成されると、Denied RODC Password Replication グループが自動的に作成されます。 Denied RODC Password Replication グループにはパスワードをレプリケートできません。

Remote Interactive Logon

この ID は、リモート デスクトップ プロトコル接続を使用してコンピューターに現在ログオンしているすべてのユーザーを表します。 このグループは、Interactive グループのサブセットです。 Remote Interactive Logon SID を含むアクセス トークンには、Interactive SID も含まれます。

属性
既知の SID/RID S-1-5-14
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

制限付き

制限付き機能を持つユーザーとコンピューターには、Restricted ID が割り当てられます。 この ID グループは、RunAs サービスを使用してアプリケーションを実行するなど、制限付きセキュリティ コンテキストで実行されているプロセスによって使用されます。 Restricted セキュリティ レベルでコードを実行すると、Restricted SID がユーザーのアクセス トークンに追加されます。

属性
既知の SID/RID S-1-5-12
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

SChannel Authentication

属性
既知の SID/RID S-1-5-64-14
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

サービス

システムにアクセスするすべてのサービスには、Service ID が割り当てられます。 この ID グループには、サービスとしてサインインしているすべてのセキュリティ プリンシパルが含まれます。 この ID によって、Windows Server サービスで実行されているプロセスへのアクセスが許可されます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-6
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 グローバル オブジェクトの作成: SeCreateGlobalPrivilege

認証後にクライアントを偽装: SeImpersonatePrivilege

Service asserted identity

クライアントの ID がサービスによってアサートされていることを示す SID。

属性
既知の SID/RID S-1-18-2
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Terminal Server User

ターミナル サービスを介してシステムにアクセスするすべてのユーザーには、Terminal Server User ID が割り当てられます。 この ID を使用すると、ユーザーはターミナル サーバー アプリケーションにアクセスしたり、ターミナル サーバー サービスで他の必要なタスクを実行したりできます。 メンバーシップはオペレーティング システムによって制御されます。

属性
既知の SID/RID S-1-5-13
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

This Organization

属性
既知の SID/RID S-1-5-15
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 なし

Window Manager\Window Manager Group

属性
既知の SID/RID S-1-5-90
オブジェクト クラス 外部セキュリティ プリンシパル
Active Directory の既定の場所 CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
既定のユーザー権利 走査チェックのバイパス: SeChangeNotifyPrivilege

プロセス ワーキング セットの増加: SeIncreaseWorkingSetPrivilege

こちらもご覧ください